entrouvert
/
paul-synchro
Archived
17
0
Fork 0
Code Issues Pull Requests Releases Activity

SSO Tournai : quelques modifications de rendu graphique (export html)

This commit is contained in:
Paul Marillonnet 2017-05-22 16:40:18 +02:00
parent 0d24bdbe2b
commit b78c0f105c
1 changed files with 10 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

13
tournai/notes_installation.md
View File

@ -1,4 +1,4 @@
Notes d'installation Single Sign-On (SSO) avec authentic2-auth-kerberos Note de déploiement pour Single Sign-On (SSO) Kerberos à l'aide du fournisseur d'identité Authentic2
# Avant-propos # Avant-propos
Cette note d'installation se focalise sur le déploiement d'un SSO Kerberos depuis un poste client vers un fournisseur d'identité Authentic2. Cette note d'installation se focalise sur le déploiement d'un SSO Kerberos depuis un poste client vers un fournisseur d'identité Authentic2.
@ -16,7 +16,9 @@ Les paquets Debian de ces deux briques logicielles sont aussi téléchargeables
# Remarques concernant la typographie # Remarques concernant la typographie
Ce document contient plusieurs *listings* de commandes shell. Certaines de ces commandes sont effectuées sur le serveur Windows, et sont donc exécutées par PowerShell, tandis que d'autres sont exécutées par Bash, côté client ou côté fournisseur d'identités. Ce document contient plusieurs *listings* de commandes shell. Certaines de ces commandes sont effectuées sur le serveur Windows, et sont donc exécutées par PowerShell, tandis que d'autres sont exécutées par Bash, côté client ou côté fournisseur d'identités.
Par besoin de distinction entre ces deux types de commandes, ces dernières sont préfixées comme ci-dessous : Par besoin de distinction entre ces deux types de commandes, ces dernières sont préfixées comme ci-dessous :
- les commandes préfixées par `> ` sont exécutées dans PowerShell - les commandes préfixées par `> ` sont exécutées dans PowerShell
- les commandes préfixées par `$ ` sont exécutées dans Bash - les commandes préfixées par `$ ` sont exécutées dans Bash
# Descriptif de l'architecture # Descriptif de l'architecture
@ -58,8 +60,8 @@ Toujours dans l'interface *Server Manager*, ici dans le cas du déploiement en l
## Configuration du client ## Configuration du client
Côté client, la configuration pour le SSO consiste en la déclaration de l'IP du serveur DNS. Cette configuration est réalisable soit à l'aide de l'outil `nm-connexion-editor` (outil de gestion des connexions intégré dans NetworkManager) -- onglet *IPv4 settings* -> *DNS servers* ; soit directement dans `/etc/resolv.conf` par ajout d'une entrée `nameserver 192.168.56.101`. Côté client, la configuration pour le SSO consiste en la déclaration de l'IP du serveur DNS. Cette configuration est réalisable soit à l'aide de l'outil `nm-connexion-editor` (outil de gestion des connexions intégré dans NetworkManager) -- onglet *IPv4 settings* -> *DNS servers* ; soit directement dans `/etc/resolv.conf` par ajout d'une entrée `nameserver 192.168.56.101`.
# Configuration Kerberos # Configuration du KDC Kerberos
## Côté serveur
Dans l'invite de commande PowerShell, il faut définir un *service principal name* à l'aide de la commande `setspn` : Dans l'invite de commande PowerShell, il faut définir un *service principal name* à l'aide de la commande `setspn` :
``` ```
setspn -S HTTP/phyhost.entrouvert.local a2idp setspn -S HTTP/phyhost.entrouvert.local a2idp
@ -75,10 +77,15 @@ La création de la *keytab* est réalisée à l'aide de la commandei `ktpass` :
``` ```
Explication des options : Explication des options :
* `princ` : nom du service principal Kerberos * `princ` : nom du service principal Kerberos
* `user ` : nom du compte de service dans la base AD * `user ` : nom du compte de service dans la base AD
* `crypto` : algos de chiffrements utilisés. L'option `ALL` autorise le chiffrement pour toutes les algos supportés par le serveur (DES-CBC-CRC, DES-CBC-MD5, RC4-HMAC-NT, AES256-SHA1 et AES128-SHA1) * `crypto` : algos de chiffrements utilisés. L'option `ALL` autorise le chiffrement pour toutes les algos supportés par le serveur (DES-CBC-CRC, DES-CBC-MD5, RC4-HMAC-NT, AES256-SHA1 et AES128-SHA1)
* `ptype` : type de principal Kerberos pour lequel la *keytab* est générée. * `ptype` : type de principal Kerberos pour lequel la *keytab* est générée.
* `out` : emplacement de la `keytab` * `out` : emplacement de la `keytab`
La keytab est alors générée pour les cinq méthodes de chiffrement supportées : La keytab est alors générée pour les cinq méthodes de chiffrement supportées :